J’ai fais des modifications directement dans le wiki :
isalo.org/wiki.debian-fr/ind … oldid=3424
Dis Michel, je ne comprends pas ça :
if [ -n "$REMOTE_TCP_SERVICES" ] || [ -n "$REMOTE_UDP_SERVICES" ] ; then
&& echo "Parefeu - Mise en place des règles : [OK]"
fi
C’est censé faire quoi? Pour ma part j’ai une erreur. Pourquoi veut tu faire ce echo que si les variables REMOTE sont vides? Cet echo n’est pas censé être éxécuté tout simplement à la fin à titre informatif? Nécessite-t-il un if?
J’ai remplacé les [ ! -n $REMOTE…] par des [ -z $REMOTE ], tu avais une raison particulière d’utiliser la double négation?
Sinon, j’ai ajouté une variable ISROUTERNAT=false par défaut. Si on la change en true, cela éxécute un bout du script pour configurer le NAT. Ce n’est peut-être pas le mieux, qu’en pensez-vous?
[quote=“thuban”]Dis Michel, je ne comprends pas ça :
if [ -n "$REMOTE_TCP_SERVICES" ] || [ -n "$REMOTE_UDP_SERVICES" ] ; then
&& echo "Parefeu - Mise en place des règles : [OK]"
fi
C’est censé faire quoi? Pour ma part j’ai une erreur. Pourquoi veut tu faire ce echo que si les variables REMOTE sont vides? Cet echo n’est pas censé être éxécuté tout simplement à la fin à titre informatif? Nécessite-t-il un if?
J’ai remplacé les [ ! -n $REMOTE…] par des [ -z $REMOTE ], tu avais une raison particulière d’utiliser la double négation?[/quote]
J’ai dégainé trop vite.
C’est mieux. Mais je me demande si on ne peux pas faire mieux (d’une manière générale), par rapport aux modification que j’ai fait aussi. Peut être qu’en réorganisant le code on peut éviter un bon paquet de conditions.
Oui, je trouve aussi que ça commence à faire fouillis …
En ce qui concerne la partie stop, il n’y a eu aucun commentaire à son sujet. Je l’ai laissé tel que je l’ai trouvée sur le manuel de sécurisation de debian, mais d’un point de vue utilité, je ne vois pas l’intéret. À quoi ça sert de bloquer l’INPUT et le FORWARD et permettre l’OUTPUT puisque de toute façon on éteint et réapplique les bonnes règles plus tard?
La question n’était pas pourquoi faire un stop, mais pourquoi ne par réutiliser la fonction prévu pour ?
Oui, car la fonction stop telle qu’elle est là, ne semble pas servir à grand chose…
[quote=“MisterFreez”]J’ai fais des modifications directement dans le wiki :
isalo.org/wiki.debian-fr/ind … oldid=3424[/quote]
Merci, c’est plus rapide et constructif 
Si je ne le fait pas toujours, c’est pour laisser la main au contributeur initial (le laisser apprendre et faire ces choix).
Nous nous étions déchaînés sur le script de ricardo.
Je me suis toujours posé la question mais comme je n’ai jamais osé mettre en doute les compétences de Matt, je n’ai jamais approfondi la chose 
[quote=“MisterFreez”]Si je ne le fait pas toujours, c’est pour laisser la main au contributeur initial (le laisser apprendre et faire ces choix).
Nous nous étions déchaînés sur le script de ricardo.[/quote]
Sadique 
Du coup j’ai commenté les lignes qui changeaient les règles du parefeu lors de l’arrêt de la machine, en attendant précisions.
Salut,
C’est le moment ou jamais d’intervenir MisterFreez
Salut,
Je viens (enfin…) de mettre en place ton script, c’est parfait.
J’ai juste ajouté une boucle pour les ip en liste blanche (j’aime bien avoir au moins un ip qui a tous les droits…)
[code]# Liste blanche
for IP in $LISTEBLANCHE; do
$IPTABLES -A INPUT -s ${IP} -j ACCEPT
done[/code]Ha, si: Une autre question:
Sur le wiki, cette partie est commentée:
fw_stop () {
#$IPTABLES -F
#$IPTABLES -t nat -F
#$IPTABLES -t mangle -F
#$IPTABLES -P INPUT DROP
#$IPTABLES -P FORWARD DROP
#$IPTABLES -P OUTPUT ACCEPT
echo "Arrêt du parefeu : [OK]"
C’est voulu ?
Je compte bien installer ce script iptable mais j’ai un pc-serveur et un pc pour la bureautique
Est il possible de mettre mon serveur en “mode” pare feu pour les deux PC??
Pour l’instant, j’ouvre les ports via mon routeur et j’ai atteind la limite des 10 ports “ouvrables” via le routeur
[quote=“M3t4linux”]Je compte bien installer ce script iptable mais j’ai un pc-serveur et un pc pour la bureautique
Est il possible de mettre mon serveur en “mode” pare feu pour les deux PC??
Pour l’instant, j’ouvre les ports via mon routeur et j’ai atteind la limite des 10 ports “ouvrables” via le routeur[/quote]
Le serveur est en mode “passerelle” (Entre le PC de bureau et la “box”) ou le réseau local est en étoile ?
10 ports? Elle est radine ta box!!! 
Hum en étoile je pense??
Les deux PC sont reliés chacun sur le routeur.
[quote=“M3t4linux”]Je compte bien installer ce script iptable mais j’ai un pc-serveur et un pc pour la bureautique
Est il possible de mettre mon serveur en “mode” pare feu pour les deux PC??
Pour l’instant, j’ouvre les ports via mon routeur et j’ai atteind la limite des 10 ports “ouvrables” via le routeur[/quote]
En principe oui. Tu crée deux vlan (si ton routeur le supporte). Un qui dans le quel il y a ta machine et le modem ppp et un second qui contiens tes machines (le serveur compris) mais pas de connexion direct en ppp. Toutes les connexion doivent passer par ce serveur qui sert de routeur pour aller sur internet.
IPv6 c’est pratique pour ne pas avoir à faire de NAT, dans ces cas là.
[quote=“lol”]Ha, si: Une autre question:
Sur le wiki, cette partie est commentée:
fw_stop () {
#$IPTABLES -F
#$IPTABLES -t nat -F
#$IPTABLES -t mangle -F
#$IPTABLES -P INPUT DROP
#$IPTABLES -P FORWARD DROP
#$IPTABLES -P OUTPUT ACCEPT
echo "Arrêt du parefeu : [OK]"
C’est voulu ?[/quote]
Oui c’était voulu. Au départ, je vidais les règles du parefeu à l’extiction de la machine. Mais pour quoi faire en fait, puisque au prochain redémarrage on écrase tout pour les remettre au propre?
Du coup j’ai choisi la simplicité, j’ai commenté en attendant que quelqu’un de mieux averti améliore le truc.
Salut,
Oui, du coup j’ai mis ceci, histoire que le stop serve à quelquechose tout de même…
Une sauvegarde des règles ça mange pas de pain…
fw_stop () {
/sbin/iptables-save > /etc/config_parefeu
echo “Sauvegarde des règles (Pare-feu TOUJOURS actif!): [OK]”
}